Auftragsverarbeitungsvertrag

Präambel

Dieser Auftragsverarbeitungsvertrag (AVV) regelt die Datenverarbeitung zwischen Stugro (Auftragsverarbeiter) und den Nutzern der Plattform, die eigene Kunden über die Stugro-Plattform verwalten (Verantwortliche, nachfolgend „Tenant").

Der AVV gilt automatisch für jeden Tenant, der die Plattform stugro.cloud nutzt, ab dem Zeitpunkt der Registrierung. Er ergänzt die Allgemeinen Geschäftsbedingungen (AGB) von Stugro und tritt neben diese.

Soweit der Tenant Personendaten seiner Kunden (z. B. Namen, E-Mail-Adressen, Buchungsdaten) über die Plattform verarbeitet, handelt Stugro als Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Der Tenant bleibt in diesem Verhältnis der datenschutzrechtlich Verantwortliche gegenüber seinen Kunden.

§ 1 Gegenstand und Dauer der Verarbeitung

Gegenstand dieses AVV ist die Verarbeitung personenbezogener Daten der Kunden des Tenants durch Stugro im Rahmen der Bereitstellung der SaaS-Plattform stugro.cloud. Die Verarbeitung dient der technischen Durchführung der vom Tenant konfigurierten Dienste (Kursverwaltung, Buchungen, Mitgliedschaften, Pässe, Kommunikation, Storefront).

Die Verarbeitung beginnt mit der Nutzungsaufnahme durch den Tenant und endet mit Kündigung des Nutzungsvertrags. Nach Vertragsende gilt § 9 dieses AVV.

§ 2 Art der Verarbeitung und Kategorien von Daten

Verarbeitete Datenarten

• Kontaktdaten (Name, E-Mail-Adresse, Telefonnummer)
• Buchungs- und Transaktionsdaten (Kurs-, Veranstaltungs- und Passbuchungen)
• Zahlungsreferenzen und Bestellhistorie (keine vollständigen Zahlungsdaten)
• Mitgliedschaftsstatus und Zugangsdaten zu Kursen
• Kommunikationsdaten im Rahmen von Kontaktformularen
• Technische Protokolldaten bei Nutzung der Storefront

Kategorien von Betroffenen

• Kunden des Tenants (Kursteilnehmende, Mitglieder, Käufer von Tickets oder Pässen)
• Interessenten, die ein Kontaktformular auf der Storefront des Tenants ausfüllen

Zweck der Verarbeitung

Die Verarbeitung erfolgt ausschließlich zur Erbringung der vertraglich vereinbarten Plattformleistungen und auf dokumentierte Weisung des Tenants (Konfiguration der Plattform). Eine Verarbeitung zu eigenen Zwecken durch Stugro findet nicht statt.

§ 3 Pflichten des Verantwortlichen (Tenant)

Der Tenant verpflichtet sich:

• sicherzustellen, dass er über eine geeignete Rechtsgrundlage für die Verarbeitung der Daten seiner Kunden verfügt;
• Stugro unverzüglich zu informieren, wenn er Fehler oder Unregelmäßigkeiten in der Datenverarbeitung feststellt;
• Anfragen von Betroffenen auf Auskunft, Löschung oder Einschränkung an Stugro weiterzuleiten, soweit die Erfüllung der Anfrage die Mitwirkung von Stugro erfordert;
• Stugro schriftlich anzuweisen, wenn er eine spezifische Verarbeitungshandlung (z. B. Datenlöschung, Datenexport) veranlassen möchte;
• sicherzustellen, dass er seinen eigenen Datenschutzpflichten gegenüber seinen Kunden nachkommt, insbesondere durch eine eigene Datenschutzerklärung auf seiner Storefront.

§ 4 Pflichten des Auftragsverarbeiters (Stugro)

Stugro verpflichtet sich:

• personenbezogene Daten des Tenants ausschließlich auf dokumentierte Weisung des Tenants zu verarbeiten — es sei denn, eine gesetzliche Verpflichtung erfordert eine anderweitige Verarbeitung;
• sicherzustellen, dass zugriffsberechtigte Personen einer Vertraulichkeitsverpflichtung unterliegen;
• die unter § 7 beschriebenen technischen und organisatorischen Maßnahmen umzusetzen und aufrechtzuerhalten;
• den Tenant unverzüglich zu informieren, sobald eine Weisung nach Auffassung von Stugro gegen datenschutzrechtliche Vorschriften verstößt;
• den Tenant bei der Erfüllung von Betroffenenanfragen und der Einhaltung der Art. 32–36 DSGVO im Rahmen des technisch Möglichen zu unterstützen;
• nur mit Zustimmung des Tenants weitere Unterauftragsverarbeiter einzusetzen, mit Ausnahme der unter § 5 bereits aufgeführten Unterauftragsverarbeiter, denen der Tenant mit Abschluss dieses AVV zustimmt.

§ 5 Unterauftragsverarbeiter

Stugro setzt folgende Unterauftragsverarbeiter ein, denen der Tenant mit Nutzung der Plattform zustimmt. Der Tenant wird über wesentliche Änderungen (Hinzufügung oder Ersetzung) mit angemessener Frist vorab informiert.

Für Unterauftragsverarbeiter mit Sitz außerhalb des EWR stützt sich Stugro auf Standardvertragsklauseln (SCC) gemäß Art. 46 DSGVO oder — sofern zutreffend — das EU-US Data Privacy Framework gemäß Art. 45 DSGVO.

§ 6 Internationale Datenübertragungen

Die primäre Datenverarbeitung (Datenbank, Authentifizierung, Dateispeicher) erfolgt auf einem eigenen Server in Deutschland. Einige der unter § 5 aufgeführten Unterauftragsverarbeiter haben ihren Sitz in den USA. In diesen Fällen greifen geeignete Garantien gemäß Art. 46 DSGVO (Standardvertragsklauseln) oder Art. 45 DSGVO (Angemessenheitsbeschluss für das EU-US Data Privacy Framework, sofern zutreffend).

§ 7 Technische und Organisatorische Maßnahmen (TOMs)

Stugro trifft angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO. Die folgenden Maßnahmen sind zum Zeitpunkt dieses AVV implementiert:

Verschlüsselung und Übertragungssicherheit

• Verschlüsselte Datenübertragung via TLS/HTTPS auf allen Endpunkten
• HTTP Strict Transport Security (HSTS) auf allen Domains
• Passwörter werden ausschließlich als Hash gespeichert (bcrypt via Supabase Auth)

Zugriffskontrolle

• Row-Level Security (RLS) auf Datenbankebene — Tenants können nur auf eigene Daten zugreifen
• JWT-Validierung bei jedem Server-Request (keine reine Cookie-Trust-Basis)
• E-Mail-Bestätigung vor Kontozugang verpflichtend
• Zwei-Faktor-Authentifizierung (TOTP) als Option verfügbar
• Rollensystem: Tenant-Admins, Staff, Platform-Admin — getrennte Berechtigungen

Missbrauchsschutz

• Ratenbegrenzung auf Auth-Endpunkten, Registrierung und Kontaktformularen
• Bot-Schutz (Cloudflare Turnstile) auf öffentlichen Formularen
• CSRF-Schutz für alle zustandsverändernden Anfragen

Systemüberwachung und Verfügbarkeit

• Fehlerüberwachung via Sentry zur Erkennung technischer Vorfälle
• Regelmäßige Datenbankbackups
• Zugangsbeschränkung auf Server auf autorisiertes Personal

Die Maßnahmen werden bei technischen Weiterentwicklungen der Plattform laufend angepasst und verbessert.

§ 8 Unterstützung bei Betroffenenrechten

Stugro unterstützt den Tenant im Rahmen des technisch Möglichen bei der Erfüllung von Anfragen der Betroffenen auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Datenübertragbarkeit.

Derartige Anfragen sind vom Tenant schriftlich an hello@stugro.cloud zu richten. Stugro bearbeitet entsprechende Anfragen innerhalb von 30 Tagen nach Eingang.

Ein vollautomatisierter Self-Service für Datenlöschung oder Datenexport ist zum aktuellen Zeitpunkt noch nicht verfügbar. Die Bearbeitung erfolgt manuell.

§ 9 Datenlöschung und Rückgabe nach Vertragsende

Nach Beendigung des Nutzungsvertrags verarbeitet Stugro die Daten des Tenants und seiner Kunden nur noch, soweit dies zur Abwicklung noch offener Vorgänge erforderlich ist.

Auf schriftliche Anfrage an hello@stugro.cloud stellt Stugro die Daten des Tenants in einem gängigen Format zur Verfügung, soweit dies technisch realisierbar ist. Ohne anderweitige Anfrage werden die Daten spätestens 90 Tage nach Vertragsende gelöscht oder anonymisiert, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Buchhalterisch relevante Daten (insbesondere Bestelldaten) unterliegen gesetzlichen Aufbewahrungsfristen von bis zu 10 Jahren (§ 147 AO, § 257 HGB) und können in diesem Zeitraum nicht vollständig gelöscht werden; personenbezogene Daten werden in diesem Fall anonymisiert, soweit dies mit dem Zweck der Aufbewahrung vereinbar ist.

§ 10 Nachweis und Kontrolle

Stugro stellt dem Tenant auf Anfrage Informationen zur Verfügung, die zur Überprüfung der Einhaltung der Verpflichtungen aus diesem AVV erforderlich sind. Vor-Ort-Audits durch den Tenant oder einen beauftragten Dritten sind nach schriftlicher Vereinbarung mit angemessener Vorankündigungsfrist möglich. Die Kosten eines solchen Audits trägt der Tenant, sofern kein begründeter Verdacht auf einen Datenschutzverstoß vorliegt.

Stugro informiert den Tenant unverzüglich, wenn nach Einschätzung von Stugro eine Weisung des Tenants gegen Datenschutzvorschriften verstößt.

§ 11 Meldung von Datenschutzverletzungen

Stugro informiert den Tenant unverzüglich — in der Regel innerhalb von 48 Stunden nach Bekanntwerden — über Datenschutzverletzungen, die Daten des Tenants oder seiner Kunden betreffen. Die Meldung erfolgt per E-Mail an die dem Tenant-Konto hinterlegte E-Mail-Adresse.

Der Tenant ist für die Beurteilung der Meldepflicht gegenüber der zuständigen Datenschutzaufsichtsbehörde gemäß Art. 33 DSGVO sowie ggf. die Benachrichtigung betroffener Personen gemäß Art. 34 DSGVO verantwortlich.

§ 12 Schlussbestimmungen

Dieser AVV ist Bestandteil des Nutzungsvertrags zwischen Stugro und dem Tenant. Im Fall von Widersprüchen zwischen diesem AVV und anderen Teilen des Nutzungsvertrags hat dieser AVV Vorrang, soweit er Anforderungen aus Art. 28 DSGVO betrifft.

Änderungen dieses AVV werden dem Tenant mit angemessener Frist (mindestens 4 Wochen) vorab mitgeteilt. Bei Widerspruch innerhalb der Frist gilt das Recht auf Kündigung des Nutzungsvertrags. Die fortgesetzte Nutzung der Plattform nach Ablauf der Frist gilt als Zustimmung zur geänderten Fassung.

Es gilt das Recht der Bundesrepublik Deutschland. Für alle Streitigkeiten aus oder im Zusammenhang mit diesem AVV ist Oldenburg (Oldenburg) als Gerichtsstand vereinbart, soweit gesetzlich zulässig.

Bei Fragen zu diesem AVV wenden Sie sich an: hello@stugro.cloud